5.1.2 ShellCode编码的用处
避免截断
“我们对ShellCode编码的第一个用处是避免ShellCode里出现‘\x00’,从而被截断。”老师说道。
“这里再说一次,字符串是以ASCII码‘\x00’为结束标志的。当我们定义字符串时,编译器会自动在末尾添加一个‘\x00’。比如 char name[] = 'ww0830' ,其实就是 char name[] = 'ww0830\x00' 。”
“而那些Strcpy、Strlen等字符串操作函数,是把‘\x00’作为字符串的结束标志。”老师说道:“如果我们的ShellCode中有‘\x00’,那很显然,目标程序用strcpy进行数据拷贝时,就会在ShellCode中的第一个‘\x00’处结束。这样,我们的ShellCode就不完整,实现不了我们想要的功能。”
“注意, char name[] = 'ww0830' 里面的‘0’和ASCII码‘\x00’是不一样的。 ‘ww0830’ 里的‘0’对应的ASCII码是‘\X60’,不会被截断。这是初学者常见的问题。”
“哦!原来是这样啊!以前一直有点迷糊!”台下有人说道。
“所以,如果ShellCode中有‘\x00’,那我们肯定需要把它去掉,方法是对ShellCode进行编码。但编码不仅仅是这个作用,还有其他功能。”
符合目标程序的要求
“我们对ShellCode编码的第二个用处就是使其符合目标程序对字符的规范。”老师说道。
“比如,攻击Foxmail的ShellCode里不能有斜线,即‘/’,攻击IIS的ShellCode里面不能有空格,即‘\x20’。所以对不同的目标程序,对ShellCode的要求也不同。我们也需要通过编码来避免。”
“如果说编码避免‘\x00’是ShellCode的共性,那么避免目标程序的特殊字符要求就是个性了。”
“共性,个性,那还有特性吗?”小倩问道。
“当然有啊,我们还可通过给ShellCode编码,使其突破IDS!”
突破IDS
“我们对ShellCode编码的第三个用处,就是使其突破IDS的探测!”老师说。
小知识:IDS简介
IDS(intrusion detection system)入侵检测系统是种新兴的、但仍在继续发展中的技术。或者监测主机日志、进程、会话、以及系统文件的更变,或者监测主机/网络的通信信息,以发现正在发生的入侵行为。其工作流程大致分为以下几个步骤:信息收集、信号分析、模式匹配、统计分析、实时记录、报警或有限度反击。IDS的根本任务是对入侵行为作出适当的反应,这些反应包括详细日志记录、实时报警和防火墙联动,甚至作有限度的反击等。
“所以,我们对ShellCode编码,可以在一定程度上躲开IDS的探测,达到攻击的效果。”